En febrero de 2024, una empresa multinacional perdió 25 millones de dólares después de que un empleado del área financiera recibiera una videollamada con lo que parecía ser el CFO de la compañía y varios colegas. Todos eran deepfakes generados en tiempo real. El empleado autorizó las transferencias convencido de que hablaba con personas reales.
Este no es un caso aislado. Es el nuevo estándar.
El phishing ya no se ve como phishing
Durante años, los equipos de ciberseguridad entrenaron a sus organizaciones para detectar señales clásicas: errores gramaticales, direcciones de correo sospechosas, urgencia artificial. Funcionaba razonablemente bien. Pero la inteligencia artificial generativa cambió las reglas del juego.
Hoy un atacante puede alimentar un modelo de lenguaje con correos públicos de un directivo y generar mensajes que replican su tono, vocabulario y forma de estructurar ideas. No hay faltas de ortografía. No hay traducciones torpes. El correo se lee exactamente como lo escribiría esa persona. Y llega desde un dominio que pasa los filtros SPF y DKIM porque el atacante comprometió una cuenta legítima de un proveedor.
Los números lo confirman. El phishing asistido por IA ha incrementado las tasas de éxito de los ataques de ingeniería social de manera significativa en los últimos dos años. No porque las personas sean menos cuidadosas, sino porque los ataques son exponencialmente mejores.
Deepfakes: la suplantación sale de la pantalla
El phishing por correo es solo una parte del problema. Los deepfakes de audio y video están llevando la ingeniería social a un territorio donde la confianza visual y auditiva, nuestro último bastión de verificación humana, ya no es confiable.
Clonar una voz con calidad convincente hoy requiere menos de un minuto de audio de referencia. Un clip del podcast corporativo, una intervención en un webinar, una entrevista publicada en redes sociales. Con eso basta para generar una llamada que suena idéntica al CEO pidiéndole al equipo de tesorería que procese un pago urgente.
Y las videollamadas no son inmunes. La tecnología de deepfake en tiempo real ya permite sustituir rostros y sincronizar labios durante una llamada en vivo. Todavía tiene limitaciones, pero mejora cada trimestre. Esperar a que sea perfecta para actuar es llegar tarde.
Por qué las defensas tradicionales no alcanzan
El problema de fondo es que la mayoría de los programas de concientización y las herramientas de detección fueron diseñados para un tipo de amenaza que está dejando de existir. Los filtros de correo buscan patrones conocidos. Los entrenamientos enseñan a identificar señales que la IA ya aprendió a eliminar.
No se trata de que estas defensas sean inútiles. Se trata de que ya no son suficientes por sí solas. Confiar exclusivamente en la capacidad humana de detectar engaños sofisticados generados por IA es una apuesta que cada vez sale peor.
¿Qué hacer al respecto?
La respuesta no es una sola herramienta ni un solo proceso. Es una combinación de capas que asuma que los ataques van a pasar los filtros iniciales.
Lo primero es actualizar los programas de concientización. No alcanza con enseñar a identificar correos mal escritos. Hay que entrenar a los equipos para que desconfíen de solicitudes inusuales sin importar lo legítimas que parezcan, especialmente las que involucran transferencias, cambios de credenciales o acceso a información sensible. La regla de oro debe ser: si la solicitud es crítica, verifica por un canal diferente al que recibiste el mensaje.
Segundo, implementar controles que no dependan del juicio humano. Autenticación multifactor robusta, políticas de doble aprobación para transacciones financieras, verificación fuera de banda para instrucciones ejecutivas sensibles. Si un deepfake perfecto del CFO pide una transferencia, el proceso debe exigir una confirmación por un canal independiente antes de ejecutarla.
Tercero, incorporar herramientas de detección de contenido generado por IA. Están madurando rápido y pueden analizar patrones en audio, video y texto que el ojo humano no percibe. No son infalibles, pero añaden una capa de protección valiosa.
La carrera ya empezó
Los atacantes están usando IA. Eso ya no es especulación. La pregunta para cada CISO y CIO es si su organización está adaptando sus defensas a la misma velocidad. La ventaja de actuar ahora es que la mayoría de las empresas todavía no lo han hecho. Eso significa que quien se mueva primero estará significativamente mejor preparado que su industria.
Pero la ventana se cierra rápido.
Acciones inmediatas
- Actualiza tu programa de concientización para incluir ejemplos reales de phishing generado por IA y deepfakes. Los materiales de hace dos años ya no reflejan las amenazas actuales.
- Implementa una política de verificación fuera de banda para cualquier solicitud financiera o de acceso sensible que llegue por correo, mensaje o videollamada. Canal diferente, persona diferente.
- Revisa las grabaciones públicas de tus ejecutivos clave. Podcasts, webinars, entrevistas en video. Todo ese material es insumo potencial para clonar voces y rostros. Evalúa qué se puede limitar sin afectar la comunicación corporativa.
- Refuerza la autenticación multifactor en cuentas críticas y elimina MFA basado solo en SMS, que sigue siendo vulnerable a SIM swapping.
- Evalúa herramientas de detección de contenido generado por IA para correo electrónico y comunicaciones internas. El mercado está madurando y ya hay opciones viables para entornos empresariales.
Si tu organización necesita fortalecer sus defensas frente a amenazas potenciadas por inteligencia artificial, contáctanos en https://tbsek.mx/contacto/.
